יומן השקיפות של חבילות APK בשירותי המערכת של Google מבוסס על טכנולוגיית יומן שקיפות.
התועלת של יומני שקיפות הוכחה בפרויקטים כמו Pixel Binary Transparency וגם שקיפות אישורים.
יומני שקיפות מיושמים באמצעות עצי מרקל. בדף הזה מניחים שיש לכם ידע כללי בעצי מרקל ובשקיפות בינארית. במאמר Verifiable Data Structures (מבני נתונים שניתן לאימות) מופיעה סקירה כללית על עצי מרקל, ובדף הראשי מופיעה סקירה כללית על המאמץ להשגת שקיפות בינארית ב-Android.
הטמעה של יומן
יומן השקיפות של חבילות APK בשירותי המערכת של Google מיושם כעץ מרקל מבוסס-משבצות. התוכן הבסיסי של הכרטיס מוגש בכתובת https://developers.google.com/android/binary_transparency/google1p/tile/. שימו לב: זה לא דף אינטרנט רגיל. צריך לקרוא את רשומות היומן שנמצאות בספריות המשנה שלו באופן פרוגרמטי באמצעות ספריית Tlog של Golang SumDB, ולא דרך דפדפן. אנחנו מציינים את הקישור כאן לשם הבהרה.
בקטע תוכן היומן מוסבר מה כל רשומה מכילה.
הגיבוב (hash) של שורש עץ מרקל של יומן, שנכלל בנקודת ביקורת, מוצג בכתובת https://developers.google.com/android/binary_transparency/google1p/checkpoint.txt בפורמט של נקודת ביקורת. העלים של עץ מרקל הזה מוצגים בכתובת https://developers.google.com/android/binary_transparency/google1p/package_info.txt. אפשר לאמת את החתימה של נקודת הבדיקה באמצעות המפתח הציבורי שמתואר באישור הבא.
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
אפשר למצוא את אותו מפתח ציבורי גם בבלוק המפתח הציבורי של PGP באבטחת Android בכתובת https://services.google.com/corporate/publickey.txt, שמזוהה על ידי CFAB31BE8DD7AC42FC721980ECA5C68599F17322 אם אתם מעדיפים PGP.
פיצול יומנים
החל מאפריל 2026, אנחנו נאחסן את היומן הזה בארכיון. רשומות חדשות ייכתבו ליומן חדש עם המאפיינים הבאים:
- נקודת ביקורת: https://gstatic.com/android/binary_transparency/google1p/jwt/2026/01/checkpoint.txt
- leaves: https://gstatic.com/android/binary_transparency/google1p/jwt/2026/01/package_info.txt
- ספריית המשבצות:
https://gstatic.com/android/binary_transparency/google1p/jwt/2026/01/tile/
אימות תלונות על הפרת זכויות יוצרים
בדף האימות מוסבר בפירוט איך משתמשים ברכיבים השונים של היומן כדי לאמת את הטענות שמופיעות במודל של בעל התלונה.
הוכחת היתכנות לא מכוונת
הכניסה באינדקס 39 ביומן הזה היא כניסת בדיקה שגויה.
המשך הקיום שלו הוא הערובה שלכם לשלמות היומן.
אנחנו לא יכולים למחוק אותו, וזה מוכיח שגם אף אחד אחר לא יכול להסתיר רשומות זדוניות.
פרטים ספציפיים מופיעים בדף התיקונים.